海外における個人情報流出事件とその対応第211回アウトソーシングのセキュリティとインドの岐路 (2)アウトソーシングとセキュリティ脅威

　データ漏えいのコストは上昇を続けている。情報管理調査会社Ponemon Instituteが2009年2月に発表した報告では、データ漏えいコストは、一件の記録あたりで2年前は47ポンドだったものが、60ポンドと28％の上昇だ。事件全体で見ると、2008年は170万ポンドだ。特にアウトソーシングに関係した事件では、被害者1人当たりのコストは、その他の事件と比べて約2割高いとされている。

　先立って2008年12月にやはりPonemonがIT関係者に対して調査を行っている。そして、アウトソーシングはサイバー犯罪と並んで、セキュリティ上の懸念のトップだという結果が出ている。理由としては、重要な情報を第三者に渡すことになることや、データ送信時に攻撃を受ける可能性などが挙げられている。ただし、危険だという意識はあるものの、コスト削減を目指す現在のビジネス環境では、アウトソーシングが減少することはないという考えが一般的だ。

　このような状況の下、アウトソーシングに関わるデータセキュリティの問題については、繰り返し取り上げられている。2008年3月には『SC Magazine』がTizor SystemsのCTO、Prat Mogheによる“Data Security and Outsourcing: Oxymoron？(データセキュリティとアウトソーシング:矛盾)？”という記事を掲載している。

　記事の中でMogheはアウトソーシングを行う企業にはデータリスクが伴うが、データを守ることができないと、事業も危険に晒されると指摘している。そしてデータ保護の方法の1つとして、ユーザデータのアクティビティの評価を行うためのデータベースログの使用を挙げる。

　しかし、ログは時間がかかり効率が悪い。セキュリティのためにデータ使用に大きな拘束を課すと、アウトソーシングの本来の目的、コスト削減にならない恐れもある。また情報漏えいが起こった後でしか分からないことも大きな問題だ。そのため、リアルタイムの監視としてDatabase/data Activity Monitors (DAM)（もしくはEnterprise Data Auditing）を勧めている。

●脅かされるBPO大国の地位

　インドは海外のIT業界からの需要が高いことで定評がある。EDS、アクセンチュア、IBM、ヒューレット・パッカード(HP)、Dellなどの大手企業がインドへアウトソーシングしている。ヒンディー語と英語が連邦政府の公的共通語であるインドは、海外にアウトソーシングを行う主な国は米国、英国などであるため、他のBPO先、中国やメキシコと比べて有利だとされてきた。

　特にマハラシュトラ州のムンバイとプネーは、インドのアウトソーシングで中心的な役割を果たしている。ムンバイは、インド準備銀行、ボンベイ証券取引所などの金融機関があり、インドだけでなく、世界レベルにおいても、商業の中心地としての地位を揺るがぬものとしている。プネーは州で二番目の規模を誇ると同時に、大学や研究機関が多数ある学術都市でもある。

　インドのアウトソーシングサービスは世界最大で、IT関連の仕事に就く人口は2008年で400万人だ。またインドのIT産業組織Nasscomによると、IT産業はGDPの7%、外貨収入の33%を占めている。

　このように重要なインドにおけるアウトソーシング産業だが、2008年2月の『Forbes』が、インドのアウトソーシング産業の抱える問題について取り上げている。その1つはコスト増で「かつてはインドへ外注することのコスト上での魅力は1:6以上あったものが、現在ではせいぜい1:3」だとする。

　インド側も欧米諸国からBPO業務を継続して引き受けていくためには、データセキュリティを強化する必要があることを認識している。セキュリティの“懸念”が“問題”にまで発展する前にリスクに対応しなければ、インドのBPO産業が衰退する恐れもある…

【執筆：バンクーバー新報西川桂子】

【関連記事】
第210回アウトソーシングのセキュリティとインドの岐路
(1)続発するアウトソーシングにかかわる事件
https://www.netsecurity.ne.jp/2_14580.html